﻿ LUCRAREA 2 Urmarirea conexiunilor (Partea 1) 1 Urmarirea conexiunilor 1 1 Starile in care se poate gasi o conexiune Starile in care se poate gasi o conexiune pot fi: -NEW: Starea pachet nou (NEW) ne spune că, pachetul este primul pachet pe care îl vedem dontr-o conexiune Aceasta înseamnă că, primul pachet pe care modulul conntrack îl vede într-o conexiune specifică, se va potrivi acestei stări De exemplu dacă vedem un pachet SYN, si acesta este primul pachet dintr-o conexiune pe care pe care o urmărim, acest pachet se va potrivi acestei stări Se poate ca pachetul să nu fie SYN şi cu toate acestea el se va potrivi starii NEW Acest lucru poate duce la anumite probleme, dar este foarte util atunci când dorim să restabilim o conexiune pierdută de la alte firewalluri, sau atunci când o conexiune este deja expitată (time out), dar in realitate ea nu este închisă -ESTABLISHED: Starea ESTABLISHED ne spune că, există trafic în ambele direcţii si ea se va potrivi continuu acelor pachete Singura cerinţa pentru a se ajunge in starea ESTABLISHED este ca un host care a trimis un pachet, să primească raspuns la acesta Mesajul de eroare ICMP poate fi considerat îm starea ESTABLISHED, asta dacă am generat un pachet care la rândul lui generează un mesaj ICMP -RELATED: O conexiune este în starea RELATED cand este înrudită cu o alta conexiune aflată in starea ESTABLISHED Un exemplu de astfel de conexiune este conexiunea de date de tip FTP(File Transfer Protocol), care se sonsideră a fi înrudită cu portul de control FTP Această stare poate fi utilizată pentru a permite respuns la ICMP, transfer FTP care să functioneye printr-un firewall -INVALID: Starea INVALID spune că, pachetul nu poate fi identificat, sau că el nu are nici o stare Acest lucru poate să apară din mai multe motive cum ar fi: sistemul nu mai are memorie disponibilă, sau un mesaj de eroare ICMP care nu provine de la nici o conexiune cunoscută În general este bine să blocam tot ceea ce se află in această stare 2 Mecanismul de stare a conexiunii 2 1 Intrarile conntrack Urmărirea conexiunii este realizată cu ajutorul unui pachet disponibil în kernelul linux, numit conntrack Acesta poate fi încarcat ca şi modul, sau ca parte internă a kernelului Urmele de conexiune sunt ţinute în lanţul PREROUTING, cu excepţia pachetelor generate local, care sunt ţinute în lanţul de ieşire (OUTPUT) Aceasta înseamnă că iptables va recalcula starile conexiunii în interiorul lanţului PREROUTING Dacă de exemplu trimitem pachetul iniţial într-un stream, starea conexiunii va fi setată ca fiind NEW în interiorul lanţului OUTPUT, şi când primim un pachet de raspuns la pachetul pe care l-am trimis, starea conexiunii se schimba în ESTABLISHED în lanţul PREROUTING Dacă primul pachet nu are ca origine calculatorul pe care ne aflam, starea va fi NEW în interiorul lanţului PREROUTING Astfel starea unei conexiuni se schimbă, iar calculele sunt facute în lanţurile PREROUTING şi OUTPUT ale tabelei nat Pentru a vedea intrarile conntrack se executa comanda cat /proc/net/ip conntrack Aceasta va furniza o listă a intrarilor din baza de date conntrack Forma acestora este: tcp 6 117 SYN SENT src=192 168 1 6 dst=192 168 1 9 sport=32775 \ dport=22 [UNREPLIED] src=192 168 1 9 dst=192 168 1 6 sport=22 \ dport=32775 use=2 Modulul conntrack ţine o astfel de intrare pentru a şti în ce stare se află o conexiune la un moment dat În exemplul de mai sus, pe primul loc avem protocolul, care în cazul nostru este tcp Apoi este aceeaşi valoare dar în cod zecimal Urmatoarea valoare specifică timpul de viaţă al acestei intrări În cazul nostru 117 secunde din momentul actual, valoare care urmează să fie decrementată pană in momentul când se recepţionează mai mult trafic Această valoare este apoi resetată la valoarea iniţiala a unei stari, specifica unui anumit moment de timp Urmează apoi starea actuală a conexiunii pe care această intrare o are în momentul de faţă Valoarea SYN SENT ne spune ca ne „uitam” la o conexiune care a vazut un singur pachet TCP SYN într-o singură direcţie Urmează adresa IP sursă iar apoi cea destinaţie, portul sursă apoi portul destinaţie Cuvânt cheie „UNREPLIED”(fara raspuns), ne spune că nu avem trafic în sens invers pentru această conexiune În urmatorii parametri se poate citi ceea ce asteptam să primim ca răspuns Se specifică adresa IP sursă şi cea destinaţie (care sunt inversate faţa de cele anterioare deoarece pachetul este directat spre noi de această dată) iar apoi urmează porturile sursa si destinaţie, care la fel sunt inversate Când o conexiune „vede” trafic în ambele direcţii, intrarea conntrack va sterge flagul UNREPLIED, apoi îl va reseta şi îl va înlocui cu flagul de asigurare a conexiunii (ASSURED) Flagul ASSURED specifică faptul că, această conexiune este asigurată, şi ea nu va fi eliminată, dacă se va atinge numarul maxim de conexiuni urmarite Numărul maxim de conexiuni urmărite depinde de o variabilă care poate fi setată cu ajutorul funcţiilor ip-sysctl folosită în kernelurile mai recente Aceasta variabilă poate fi setată in fisierul ip conntrack max care se gaseste în directorul /proc/sys/net/ipv4 2 2 Conexiuni TCP În acest capitol şi în urmatoarele, vom analiza în detaliu stările în care se poate gasi un pachet şi ce înseamnă aceste stari pentru cele trei protocoale de bază şi anume TCP, UDP, ICMP O conexiune TCP este initiată tot timpul prin 3 numiţi şi paşi de handshake, care stabilesc şi negociază conexiunea prin care se vor transmite date Întreaga sesiune este incepută cu un pachet SYN, apoi un pachet SYN/ACK şi în cele din urmă un pachet de confirmare de pachet(ACK), care aprobă intreaga conexiune În acest punct conexiunea este stabilită şi gata să transmită date Întrebarea care se pune este, cum se reuseste sa se urmarească această conexiune? Cand se „vede” un pachet (pachetul SYN), se consideră că, avem o conexiune NEW Cand avem şi un pachet de raspuns (SYN/ACK), se consideră, că avem conexiunea în starea stabilită (ESTABLISHED) Cu această observaţie, rezultă că putem implementa un firewall în care să permitem pachetelor NEW şi ESTABLISHED, să parasească reţeaua locală, si să permitem doar pachetelor ESTABLISHED să intre în reteaua noastră Figura 3 1 După cum se vede, lucrurile funcţinează destul de simplu din punctul de vedere al utilizatorului Cu toate acestea privind lucurile din punctul de vedere al kernelului, problema este puţin mai dificilă Să privim un exemplu Prima stare este cea raportata de existenta primului pachet SYN într-o conexiune tcp 6 117 SYN SENT src=192 168 1 5 dst=192 168 1 35 sport=1031 \ dport=23 [UNREPLIED] src=192 168 1 35 dst=192 168 1 5 sport=23 \ dport=1031 use=1 După cum se vede, din cele de mai sus, avem o stare precizată, în care un pachet SYN a fost trimis (flagul SYN SENT este setat), la care înca nu avem un raspuns (flagul UNREPLIED este setat) Urmatoarea stare internă, va fi atinsă, atunci când vedem un alt pachet venind din direcţie opusă tcp 6 57 SYN RECV src=192 168 1 5 dst=192 168 1 35 sport=1031 \ dport=23 src=192 168 1 35 dst=192 168 1 5 sport=23 dport=1031 \ use=1 Acum am primit ca raspuns un pachet SYN/ACK corespondent pachetului anterior trimis Atata timp cât acest pachet a fost recepţionat, starea se schimbă în SYN RECV Acest nou flag ne spune ca pachetul SYN original a fost livrat corect, şi că pachetul returnat SYN/ACK a trecut prin firewall Ultimul pas va fi atins cand va apare cel de-al treilea ACK tcp 6 431999 ESTABLISHED src=192 168 1 5 dst=192 168 1 35 \ sport=1031 dport=23 src=192 168 1 35 dst=192 168 1 5 \ sport=23 dport=1031 use=1 Dupa primirea celui de-al treilea ACK, conexiunea intră în starea ESTABLISHED (conexiune stabilita) Dupa inca cateva pachete, conform mecanismului de funcţionare iptables, conexiunea va fi considerată asigurată (ASSURED) Închiderea conexiunii TCP urmează pasii prezentaţi în figură, şi ia următoarele stări: Figura 3 2 După cum se vede, conexiunea nu este niciodată închisă, pană cand nu se trimite ultimul ACK De notat este faptul că în figura de mai sus este prezentat cazul închiderii conexiunii în circumstanţe normale O conexiune poate de asemenea să fie închisă când se trimite un RST (reset), dacă cnexiunea este refuzată de exemplu În acest ultim caz, conexiunea este închisa după un timp predeterminat Când o conexiune TCP a fost închisă, conexiunea intră în starea de asteptare (TIME WAIT) care este în mod normal setat la două minute Această stare este utilizată astfel încât, toate pachetele care din anumite motive nu au fost primite, să mai poată ajunge la destinaţie chiar dacă conexiunea a fost închisă Este ca şi cum am avea un buffer temporar astfel încât pachetele care au fost intârziate într-un router care este congestionat să mai poată trece în firewall, sau în celalalt capăt al conexiunii Dacă conexiunea este resetată de pachetul de reset (RST), starea este schimbata in CLOSE Conexiunea va continua să mai existe timp de zece secunde, după care este închisă definitiv Pachetele RST, nu primesc ACK în nici un sens, iar conexiunea este efectiv ruptă Intrebari Lucrarea 2: 1) Cand este o conexiune in starea RELATED? Dati un exemplu 2) Unde sunt tinute urmele conexiunii? 3) Ce particularitati intalneste o conexiune inchisa printr-un pachet de reset? 